Іваньков Євгеній
Ігорович
Государственный ВУЗ " Национальный горный университет ", Украина
Преимущества виртуальной
инфраструктуры при инцидентах информационной безопасности
ВВЕДЕНИЕ
Одна из основных
характеристик виртуальной среды – динамичность – является как преимуществом для
эксплуатирующих служб, позволяющим быстро выполнять операции развертывания и
миграции виртуальных машин, так и недостатком для служб информационной
безопасности, поскольку именно с этим связаны основные риски в виртуальной
среде.
Перенеся
производственные серверы на виртуальную платформу, нам следует осознать, что:
ОС, приложения и
данные больше не привязаны к одной физической платформе. Нельзя сказать на
каком именно сервере работает
приложение.
Стандартные средства
мониторинга и журналирования легко обойти. Ведь операционная система не сможет
сообщить о том, что ее целиком клонировали или остановили средствами
гипервизора.[1]
Гипервизор и средства управления
Виртуальная
инфраструктура помимо новых возможностей, несет еще и новые компоненты, по
отношению к традиционной физической инфраструктуре. Этими компонентами являются
собственно серверы виртуализации, а также средства управления виртуальной инфраструктуры.
Поскольку появились
новые программные компоненты, то появляются вопросы обеспечения их
безопасности. Более того, с точки зрения информационной безопасности, ценность
всех новых компонентов крайне высока. Причины тут две:
1. Захват гипервизора или средств управления
виртуальной инфраструктурой злоумышленником приведет к тому, что он сможет
незаметно для традиционных средств защиты информации (установленных в
виртуальной машине) перехватывать данные, идущие через устройства ввода-вывода.
Кроме конфиденциальности данных, он, разумеется, также сможет нарушить
целостность и доступность виртуальных частных машин.
2. Поскольку основная концепция виртуализации
состоит в консолидации информационных систем на одном оборудовании.
Следовательно, вместе с плотностью растут и ставки потерь. Компрометация хоста
будет приводить к компрометации всех виртуальных машин на нем, а захват
централизованных средств управления виртуальной частной инфраструктуры,
очевидно, приведет к компрометации всех виртуальных частный машин в рамках
инфраструктуры.[2]
Способы выявления инцидентов в виртуальной инфраструктуре
Основное
отличие при выявлении инцидентов в физической и виртуальной среде состоит в
том, что в последней нельзя полагаться лишь на привычные механизмы
журналирования и аудита гостевых ОС и приложений.
Для
выявления подобных инцидентов необходимо производить мониторинг и аудит
следующих компонентов:
Гипервизора
на уровне его ОС (ESX). Системные события, как правило, низкоуровневые и их
невозможно напрямую связать с активностью на уровне виртуализации (копирование,
перемещение виртуальных машин и т.д.), однако это необходимо для выявления
сбоев, перезагрузок ESX-серверов и аутентификации в консоли ESX.
Уровня
виртуализации.
Гостевой
ОС и интересующих приложений.
Физической
инфраструктуры, обслуживающей виртуальные датацентры.
Кроме
мониторинга, необходимо также реализовать правила выявления специализированных
инцидентов, присущих виртуальной среде, то есть понять логику проведения атак,
подобных описанным выше, и, соответственно, формализовать правила их
обнаружения.
Перечень литературы:
1. http://www.virtualizationsecuritygroup.ru//obnaruzhenie-incidentov.html
2. http://www.virtualizationsecuritygroup.ru/publikatsii/bezopasnost-virtualnih-infrastruktur.html